📃
Anggi's Notes
  • Tentang Penulis
  • Preambule
  • Tutorial Red Team Area (General)
    • Tutorial Setup VirtualBox
    • Tutorial Setup Kali Linux pada VirtualBox
    • Network Adapter Type pada Virtual Box
    • Tutorial Port Forwarding Pada Virtual Box
    • Mempercepat update/upgrade/install Kali Linux
    • Networking in a Nutshell
    • Linux in A Nutshell
    • Linux Command Intro
    • VA-PT Cheatsheet
    • Penetration Testing Guide & Checklist
    • Pentesting Web checklist
    • NMAP Cheatsheet
    • Bind vs Reverse Shell Concept
    • Reverse Shell Cheatsheet
    • Linux TTY Shell Cheat Sheet
    • Menaikkan Common Shell ke Meterpreter
    • Metasploit Cheatsheet
      • msfvenom
      • searchploit
    • Metasploitable-2
    • Metasploitable-3
    • Linux Privilege Escalation
      • Linux Privilege Escalation with Misconfigured /etc/passwd
      • Linux Privilege Escalation with SUID
      • Linux Privilege Escalation with Misconfigured Sudo
      • Linux Privilege Escalation with MSF
    • DVWA
      • Brute Force
        • Low
        • Medium
        • High
      • Command Injection
        • Low
        • Medium
        • High
      • Local File Inclusion
        • Low
        • Medium
        • High
      • File Upload Vulnerability
        • Low
        • Medium
        • High
      • Cross Site Scripting (XSS)
        • Reflected
          • Low
          • Medium
          • High
        • Stored
          • Low
          • Medium
          • High
        • DOM
          • Low
          • Medium
          • High
      • SQL Injection
        • Non Blind
          • Low
          • Medium
          • High
        • Blind
          • Low
          • Medium
          • High
      • CSRF
        • Low
        • Medium
        • High
    • Pentesting Report Sample
    • Tutorial Penggunaan ZAP
    • Windows VA/Audit
      • DetExploit
      • HardeningKitty
      • Tutorial Installasi OWASP ZAP pada Windows OS
    • Linux VA/Audit dengan Lynis
    • Mobile Security Framework (MobSF) Windows Docker
  • Tutorial Red Team Area (Teknik Windows Attack )
    • Reconnaissance Techniques
    • Windows Red Team Exploitation Techniques
    • Windows Red Team Defense Evasion Techniques
  • Tutorial Blue Team Area
    • Merancang SOC
    • IR Playbook
    • Blue Team Opensource Online Tools
    • Wireshark Query Cheatsheet
  • Temuan Celah Keamanan
    • LFI (Directory Traversal) di redacted.co.id
    • Kredensial Database dan Azure Leaks pada redacted.com
    • HTML Injection di Tokopedia
    • 🤪4300$ Bounty from Opensource automate recon tools, why not?
    • I hacked Mastercard 4 times? But How?
    • LFI dan RCE di aset redacted.com
    • FTPd DOS di aset redacted.co.id
    • Gitlab SSRF di redacted.com
    • Firebase Android database Takeover
    • RCE di 11 Subdomain Dell
    • SSRF di redacted.com
    • Reflected XSS di CelticPipes
    • Git Disclosure di redacted.co.id
    • Open Redirection+XSS pada Private Program Bugcrowd
    • Rails Debug Mode Enabled pada redacted.com
Powered by GitBook
On this page
  • Apa itu Brute Force?
  • Apa itu Wordlist?
  • Pengetahuan yang Harus Dimiliki
  • Bagaimana Meminimalisir Brute Force?

Was this helpful?

  1. Tutorial Red Team Area (General)
  2. DVWA

Brute Force

PreviousDVWANextLow

Last updated 3 years ago

Was this helpful?

Brute force attack masih menjadi salah satu teknik cracking password paling populer yang dilakukan untuk meretas password. Serangan ini dilakukan agar peretas mendapatkan password untuk bisa masuk ke dalam sistem.

Apa itu Brute Force?

Brute Force adalah serangan yang dilakukan untuk meretas password dengan cara mencoba setiap password sampai akhirnya menemukan password yang tepat.

Selain untuk meretas password, brute force juga bisa digunakan untuk mencari username atau yang lainnya, bahkan bisa di-mix (contoh: username dan password).

Peretas akan menggunakan algoritma yang menggabungkan huruf, angka dan simbol (sesuai dengan racikannya) untuk menghasilkan password yang valid. Seperti mencoba menggunakan kata “password” yang ditulis dan dikombinasikan dengan simbol sehingga menjadi “p@$$word”.

Keberhasilan dari teknik ini adalah bergantung terhadap "racikan" wordlist yang si peretas buat. Dalam real case-nya, biasanya peretas mengumpulkan informasi (information gathering) sebanyak-banyaknya, termasuk diantaranya adalah dengan melakukan social engineering.

Apa itu Wordlist?

Dalam hal ini, wordlist adalah kumpulan kata (password) yang akan dicoba satu per satu untuk menemukan password yang valid.

Salah satu wordlist yang terkenal adalah . File tersebut berisi jutaan password yang umum digunakan.

Tetapi biasanya orang-orang tidak menggunakan kata-kata seperti itu lagi, dan walaupun ada, akan memakan waktu yang sangat lama, karena adanya jutaan kata yang dicoba. Sehingga pada real case, sebaiknya kita melakukan information gathering sebaik-baiknya dan meracik wordlist sendiri.

Pengetahuan yang Harus Dimiliki

Ada beberapa pemahaman yang sebaiknya dimiliki untuk melakukan brute force (khususnya pada DVWA) adalah:

  1. Penggunaan tool seperti Hydra dan Burpsuite akan kita gunakan nantinya.

  2. Penggunaan search engine seperti google. Nantinya anda mungkin akan menemukan sesuatu yang baru dan sebagai pentester anda harus bisa mempelajari sesuatu dengan cepat.

Ada pun dalam real case-nya, pemahaman seperti limiting, WAF, scripting, dll., saya rasa itu akan mudah dipelajari ketika anda telah terbiasa dengan 2 hal di atas.

Bagaimana Meminimalisir Brute Force?

Ada beberapa cara untuk meminimalisir atau menghambat serangan brute force, yaitu:

  1. Limit kesalahan password Ketika user salah menginputkan password dalam 3x (atau berapa pun sesuai kebijakan masing-masing), maka ia harus menunggu beberapa waktu terlebih dahulu agar bisa melakukan login kembali.

  2. Menambahkan CAPTCHA CAPTCHA adalah suatu bentuk uji tantangan-tanggapan (challenge-response test) yang digunakan untuk memastikan bahwa jawaban tidak dihasilkan oleh robot (bot).

  3. Port Knocking Port Knocking adalah metode yang dilakukan untuk membuka akses ke port tertentu yang telah di-block oleh Firewall pada perangkat jaringan dengan cara mengirimkan paket atau koneksi tertentu. Biasanya teknik ini digunakan untuk koneksi SSH.

  4. Dan lain-lain.

rockyou.txt